限制用户多点并发登录之一——“登录到”

AD采用统一的方式进行域内用户的身份验证，给我们的工作了带来很大的便利性，我们域内的用户可以使用域内的任何一台电脑进行登录。如果用户的电脑出现故障，那么他可以使用域内的任何一台电脑进行工作，而不会因电脑故障而影响日常工作。不过，这个便利性就像一把双刃剑，在带来便利的同时，也带来的安全隐患。由于用户可以多点并发登录，所以管理员无法做到安全监控，如果用户账号被盗用，容易给网络带来安全风险。因此很多管理员都希望用户在同一时间内只能登录到活动目录一次。接下来的一系列文章中，我们就来探讨一下限制用户多点并发登录的问题。
先说一下我们的测试环境：
DC： Netcn01.guoxuemin.cn
Client1： Client.guoxuemin.cn
Client2： netcnxp.guoxuemin.cn
我们先来探讨一个最简单的限制用户多点并发登录的方法——“登录到”，该方法使用的是AD用户属性中的一个值Workstation，通过对这个值的设定就能指定用户只能在某台或某几台计算机上登录。
1. 默认情况下，域用户是可以多点并发登录的，“登录到”是没有做任何限制的，如下图：





2. 下面我们来修改Tony.guo这个账户的“登录到”属性，只允许他登录到client这台计算机，由于域内计算机的计算机名都不一样，所以这里可以只需要填入限制登录到的计算机名，如下图：



注意：此处的“登录到”设置对windows9x系列系统无效。
3. 下面我们来看看设置的结果，使用Tony.guo登录netcnxp，出现如下图所示的警告信息，用户无法登陆计算机netcnxp：



使用Tony.guo登录client，可以正常登录，如下图：



4. 通过以上设置，可以很有效的限制用户多点并发登录，不过，这个方法只适合小公司和对登录安全性要求很高的公司。因为它还存在一系列的缺点：
1） 设置不灵活，如果限制了用户登陆一台计算机，那么用户将无法使用其他计算机，这样很容易给用户的正常工作带来影响。当然，可以采用一个比较折中的方法，添加多台计算机允许用户登录，比如同一个部门内的计算机，不过这又回到了我们开头说的问题，安全隐患。
2） 工作量大，如果公司用户数很多，比如有2000个用户，那么就需要设置2000次。而且用户更换计算机，还需要再次修改。客户端计算机名修改时，也需要再次做设定。
3） 当然最大的问题还是不便于用户使用，如果这样限制，在用户电脑发生故障时，就不能通过其它电脑工作，而影响到用户的正常工作。